linux宽容模式,浅析linux之SElinux的targeted规则（Policy）(转)

转自：

SElinux的预设policy有两种，其一是strict(完全限制的SElinux保护)，另外一种就是今天要分析的targeted(仅对网络服务限制严格的SElinux)，性能优良的linux系统往往被用作服务器的搭建平台，所以系统的安全十分的重要，然而在linux平台的防护措施也十分的多，像iptables，pam，acl.....等等，这里要说的selinux同样值得信赖！

这里学习的是在规则targeted下的一些常用操作

1、查看本机的selinux的状态

[root@localhost ~]# sestatus (查看本机的selinux状态)

SELinux status:                 enabled

SELinuxfs mount:                /selinux

Current mode:                   enforcing

Mode from config file:          enforcing

Policy version:                 21

Policy from config file:        targeted

这里的mode又分为三种：

(1)、enforcing(这个状态是开启selinux的限制，这个状态下selinux真正的起作用，当某些行为不符合selinux的规则时，直接给它down掉)

(2)、 permissive(这个状态也是开启selinux，这个状态是宽容模式，当某些行为不符合selinux的规则时，发出警告而不是限制)

(3)、disabled (这个状态就是关闭selinux)

2、修改本机的selinux的状态

[root@localhost ~]# getenforce (还可以通过这个指令来查看本机的selinux的状态)

Enforcing

改变selinux的状态可以通过修改两个文档，但是在状态切换的过程中，每次状态的改变必须重启系统，因为系统内核读取的是selinux的二进制的文件，通过系统的重启，把selinux的规则二进制重写，以便系统内核可以顺利读取。

[root@localhost ~]# vi /etc/selinux/config (其一在这里修改)

# This file controls the state of SELinux on the system.

# SELINUX= can take one of these three values:

#       enforcing - SELinux security policy is enforced.

#       permissive - SELinux prints warnings instead of enforcing.

#       disabled - SELinux is fully disabled.

SELINUX=enforcing

# SELINUXTYPE= type of policy in use. Possible values are:

#       targeted - Only targeted network daemons are protected.

#       strict - Full SELinux protection.

SELINUXTYPE=targeted

或者在以下文档修改

[root@localhost ~]# vi /etc/sysconfig/selinux (规则修改，重启系统之后，这两个我文档的内容是一模一样的)

另外如果是在状态enforcing和permissive之间切换时，不仅无需重启系统，而且还可以通过简单的指令来完成

[root@localhost ~]# setenforce (后接下边状态对应的数值即可，1表示开启，0表示宽容)

usage:  setenforce [ Enforcing | Permissive | 1 | 0 ]

3、与服务相关的targeted规则

[root@localhost ~]# seinfo (Booleans即是规则(这里成为布林值)的数目，257条)

Statistics for policy file: /etc/selinux/targeted/policy/policy.21

Policy Version & Type: v.21 (binary, MLS)

Classes:            61    Permissions:       220

Types:            1785    Attributes:        166

Users:               3    Roles:               6

Booleans:          257    Cond. Expr.:       240

Sensitivities:       1    Categories:       1024

Allow:          124656    Neverallow:          0

Auditallow:         42    Dontaudit:        7071

Role allow:          5    Role trans:          0

Type_trans:       2093    Type_change:         0

Type_member:         0    Range_trans:       433

Constraints:        47    Validatetrans:       0

Fs_use:             19    Genfscon:           74

Portcon:           328    Netifcon:            0

Nodecon:             8    Initial SIDs:       27

另外可以通过#seinfo -h查看一些seinfo的参数和用法

对seinfo查询出来的布林规则可以通过指令sesearch做进一步的深入探索

sesearch的常用参数(详尽参数可以求助man)

-a：流出所有的相关信息

-b：后接相关的布林值

-t：后接服务的类别

-h：查看帮助文档

4、布林值的搜索和修改

(1)、布林值的搜索(通过指令getsebool， 参数只有-a，可以结合管道命令过虑出自己需要的)

[root@localhost ~]# getsebool -a|grep ftp

allow_ftpd_anon_write --> off

allow_ftpd_full_access --> off

..............................................

(2)、布林值的修改(通过指令setsebool ，参数只有-P，后接要修改的布林值)

[root@localhost ~]# setsebool -P ftp_home_dir=1(这两个指令的作用一模一样，都是打开ftp的用户的登录的家目录的selinux的规则，让登录用户可以使用自己的家目录(PAM的规则))

或者

[root@localhost ~]# setsebool -P ftp_home_dir on

5、目录预设的安全性文本的查询和修改

这里要用到的指令只有一个：semanage，只是结合不同的参数来完成查询以及修改的工作

参数

-a, --add 增加规则

-d, --delete 删除规则

-m, --modify 修改规则

-l, --list查看规则，结合相关的选项(fcontext)

(1)、查询文件夹的布林规则

[root@localhost ~]# semanage fcontext -l|grep /var/www/(查看预设的apache相关的的selinux的规则)

/var/www/svn/conf(/.*)?                            all files          system_u:object_r:httpd_sys_content_t:s0 (我们的httpd的主要设置档在conf下)

[root@localhost ~]# cd /var/www

[root@localhost www]# ll -Z

drwxr-xr-x  root      root system_u:object_r:httpd_sys_content_t www(是不是发下type相同呢？都是httpd_sys_content_t)

主要限制的就是这些复杂的type啦，其中身份识别(root system_u)和角色(object_r)只起到辅助的作用

(2)、规则的修改(仍然有两种方式)

首先通过指令chcon

参数

-R 递归的修改

-u 后接相应的身份

-t 后接相应的类别

-r 后接相应的role

例如：

[root@localhost ~]# cd /home/

[root@localhost home]# ll -Z

drwxr-xrwx  root      root      user_u:object_r:user_home_dir_t  public

[root@localhost home]# chcon -t httpd_sys_content_t public/(修改的动作)

[root@localhost home]# ll -Z

drwxr-xrwx  root      root      user_u:object_r:httpd_sys_content_t public

另外可以通过指令restorecon来尝试恢复成预设值，但是不一定会成功

然后就是通过指令semanage

[root@localhost ~]# semanage fcontext -a -t public_content_t "/srv/samba(/.*)?"(这个指令不要乱操作哦，意思就是尽量不修改不常用的文件夹的预设值)

同样的也可以通过指令restorecon来尝试恢复成预设值，但是不一定会成功

这里就告一段落了

selinux的探索是linux的进阶型学习的部分，作为一个合格的网络管理员，学好是十分必要的！